プライベートVLAN

プライベートVLAN （ポートアイソレーションとも呼ばれる）は、コンピュータネットワークにおける技術であり、VLAN内のスイッチポートは特定のアップリンクとのみ通信できるよう制限されています。制限されたポートはプライベートポートと呼ばれます。各プライベートVLANには通常、多数のプライベートポートと1つのアップリンクが含まれます。アップリンクは通常、ルーター、ファイアウォール、サーバー、プロバイダーネットワーク、または同様の中央リソースに接続されたポート（またはリンクアグリゲーショングループ）です。

このコンセプトは、ネットワークスイッチにおけるVLAN数制限の結果として導入されました。この制限は、大規模環境ではすぐに限界に達してしまうため、最小限のVLAN数で複数のネットワーク分離を構築する必要がありました。

スイッチは、VLAN ID や宛先MAC アドレスに関係なく、プライベートポートから受信したすべてのフレームをアップリンクポートに転送します。アップリンクポートから受信したフレームは通常の方法で転送されます（宛先 MAC アドレスをホストするポートに転送されるか、ブロードキャストフレームまたは不明な宛先 MAC アドレスの場合は VLAN のすべてのポートに転送されます）。その結果、スイッチを介したピア間の直接的なピアツーピアトラフィックはブロックされ、そのような通信はすべてアップリンクを経由することになります。プライベート VLAN はデータリンク層でピア間の分離を提供しますが、ネットワークの設定によっては、上位層での通信が可能な場合もあります。

プライベートVLANの典型的な用途は、ホテルや各部屋またはアパートにインターネットアクセス用のポートが設けられた家庭ネットワークへのイーサネット接続です。同様のポート分離は、イーサネットベースの ADSL/ DSLAMでも使用されています。顧客ノード間のデータリンク層直接通信を許可すると、ローカルネットワークがARPスプーフィングなどの様々なセキュリティ攻撃にさらされるだけでなく、設定ミスによる損害の可能性も高まります。

プライベートVLANのもう一つの用途は、IPアドレスの割り当てを簡素化することです。ポートは、同じ IPサブネットに属していながら、データリンク層で（セキュリティ、パフォーマンス、その他の理由から）互いに分離することができます。このような場合、保護されたポート上のIPホスト間の直接通信は、MAC強制転送または同様のプロキシARPベースのソリューションを使用したアップリンク接続を介してのみ可能になります。

VLANトランキングプロトコル

バージョン3

VLAN トランキングプロトコルのバージョン 3 では、プライベート VLAN のサポートが追加されました。

バージョン1と2

バージョン 1 および 2 を使用する場合、スイッチは VTP になっている必要があります transparent mode。

VTP v1 および 2 はプライベート VLAN 設定を伝播しないため、管理者が 1 つずつ設定する必要があります。

プライベートVLANの制限

プライベートVLANは次のものをサポートしていません: ^{[ 1 ]}^{[ 2 ]}

ダイナミックアクセスポート VLANメンバーシップ。
ダイナミックトランキングプロトコル（DTP）
ポートアグリゲーションプロトコル(PAgP)
リンク集約制御プロトコル(LACP)
マルチキャスト VLAN 登録(MVR)
音声VLAN
ウェブキャッシュ通信プロトコル(WCCP)
イーサネットリング保護(ERP)
柔軟なVLANタグ付け
出力VLANファイアウォールフィルター
統合ルーティングおよびブリッジング（IRB）インターフェース
マルチシャーシリンクアグリゲーショングループ (MC-LAG)
Q-in-Qトンネリング
サブVLAN（セカンダリ）とプライマリVLAN間のルーティング
JuniperはIGMPスヌーピングをサポートしていない

構成の制限

アクセスインターフェイスは 2 つの異なるプライマリ VLAN に参加できず、1 つのプライベート VLAN に制限されます。
スパニングツリープロトコル(STP) の設定。
VLAN 1およびVLAN 1002～1005は特別なVLANであるため、プライマリVLANまたはセカンダリVLANとして設定できません。

Ciscoの実装

Cisco SystemsのプライベートVLANは、複数のスイッチにまたがって機能できるという利点があります。^{[ 3 ]} プライベートVLANは、既存のIPサブネットとレイヤ3構成を維持しながら、 VLAN（プライマリ）をサブVLAN（セカンダリ）に分割します。通常のVLANは単一のブロードキャストドメインですが、プライベートVLANは1つのブロードキャストドメインを複数の小さなブロードキャストサブドメインに分割します。

プライマリVLAN：元々のVLANです。このタイプのVLANは、フレームをすべてのセカンダリVLANにダウンストリーム転送するために使用されます。
セカンダリ VLAN : セカンダリ VLAN は次のいずれかのタイプで構成されます。
- 分離：分離VLANに関連付けられたスイッチポートはプライマリVLANにアクセスできますが、他のセカンダリVLANにはアクセスできません。また、同じ分離VLANに関連付けられたホストは相互にアクセスできません。1つのプライベートVLANドメイン内に複数の分離VLANを配置できます（セキュリティ上の理由からVLAN間で異なるパスを使用する必要がある場合に便利です）。各VLAN内では、ポートは互いに分離されたままです。^{[ 4 ]}
- コミュニティ：共通のコミュニティVLANに関連付けられたスイッチポートは、相互に通信でき、プライマリVLANとも通信できますが、他のセカンダリVLANとは通信できません。1つのプライベートVLANドメイン内に、複数の異なるコミュニティVLANを設定できます。

プライベートVLANには、主にプロミスキャスポート（Pポート）とホストポートの2種類のポートがあります。ホストポートはさらに、分離ポート（Iポート）とコミュニティポート（Cポート）の2種類に分けられます。

プロミスキャスポート（Pポート）：スイッチポートは、ルーター、ファイアウォール、またはその他の一般的なゲートウェイデバイスに接続します。このポートは、プライマリVLANまたはセカンダリVLANに接続された他のあらゆるデバイスと通信できます。つまり、VLAN上の他のどのポートからもフレームを送受信できるポートの一種です。
ホストポート:
- 分離ポート（Iポート）：分離VLAN上の通常のホストに接続します。このポートはPポートとのみ通信します。
- コミュニティポート（Cポート）：コミュニティVLAN上の通常のホストに接続します。このポートは、Pポートおよび同じコミュニティVLAN上のポートと通信します。

シナリオ例：VLAN 100を持つスイッチをプライベートVLANに変換し、Pポート1つ、分離VLAN 101（セカンダリ）にIポート2つ、そしてコミュニティVLAN 102と103（セカンダリ）にそれぞれ2つのポートを持つプライベートVLANにします。スイッチには1つのアップリンクポート（トランク）があり、別のスイッチに接続されています。この図は、この構成をグラフィカルに示しています。

次の表は、これらすべてのポート間で流れるトラフィックを示しています。

	Iポート	Pポート	C1ポート	C2ポート	スイッチ2へのアップリンク
Iポート	拒否	許可する	拒否	拒否	許可/拒否
Pポート	許可する	許可する	許可する	許可する	許可する
C1ポート	拒否	許可する	許可する	拒否	許可する
C2ポート	拒否	許可する	拒否	許可する	許可する
スイッチ2へのアップリンク	許可/拒否	許可する	許可する	許可する	許可する

アップリンクポートから分離ポートへのトラフィックは、分離VLAN内にある場合は拒否されます。アップリンクポートから分離ポートへのトラフィックは、プライマリVLAN内にある場合は許可されます。

ユースケース

ネットワーク分離

プライベート VLAN は、次の場合にネットワーク分離に使用されます。

ホストのIPアドレスを変更せずに、フラットネットワークから分離されたネットワークに移行します。ファイアウォールをルーターの代わりに使用することで、ホストをIPアドレスを変更することなく、セカンダリVLAN割り当てに徐々に移動できます。
数十、数百、あるいは数千ものインターフェースを備えたファイアウォールが必要な場合があります。プライベートVLANを使用すれば、ファイアウォールは分離されたすべてのネットワークに対して1つのインターフェースのみで対応できます。
IPアドレスを保持する必要があります。プライベートVLANを使用すると、すべてのセカンダリVLANが同じIPサブネットを共有できます。
ファイアウォールごとにサポートされるVLANの数に応じたライセンス料金を克服します。^{[ 5 ]}
4095以上の分離されたネットワークが必要です。分離VLANを使用すれば、無制限の数の分離されたネットワークを構築できます。^{[ 6 ]}

安全なホスティング

ホスティング操作におけるプライベート VLAN を使用すると、顧客間の分離が可能になり、次の利点が得られます。

顧客ごとに個別の IP サブネットは必要ありません。
分離 VLAN を使用すると、顧客数に制限はありません。
設定された VLAN の数を増やすためにファイアウォールのインターフェース設定を変更する必要はありません。

セキュアVDI

分離VLANを使用すると、VDIデスクトップを相互に分離し、デスクトップ間の通信をフィルタリングおよび検査できます。分離されていないVLANを使用する場合は、VDIデスクトップごとに異なるVLANとサブネットが必要になります。

バックアップネットワーク

バックアップネットワークでは、ホスト同士が通信する必要はありません。ホストはバックアップ先にのみ通信する必要があります。バックアップクライアントを1つの分離VLANに配置し、バックアップサーバーをプライマリVLANにプロミスキャスモードで配置することで、ホストはバックアップサーバーとのみ通信できるようになります。

ブロードキャスト緩和

ネットワーク上のブロードキャストトラフィックは各無線ホストに順次送信する必要があるため、通信時間の大部分を消費し、無線ネットワークが応答不能になる可能性があります。スイッチに複数の無線アクセスポイントが接続されている場合は、プライベートVLANを使用することで、ブロードキャストフレームがAP間で伝播するのを防ぎ、接続されたホストのネットワークパフォーマンスを維持できます。

参照

参考文献

^ 「プライベートVLAN | Junos OS | Juniper Networks」www.juniper.net . 2023年11月8日閲覧。
^ 「Catalyst 4500シリーズスイッチCisco IOSソフトウェアコンフィギュレーションガイド、12.2(25)EW - プライベートVLANの設定[Cisco Catalyst 4500シリーズスイッチ]」 . Cisco . 2023年11月8日閲覧。
^ S. HomChaudhuri; M. Foschiano (2009年6月). Cisco SystemsのプライベートVLAN：マルチクライアント環境におけるスケーラブルなセキュリティ.インターネットエンジニアリングタスクフォース. doi : 10.17487/RFC5517 . RFC 5517 .情報提供のみ。独立した投稿。
^ 「プライベートVLANの設定」 . Cisco Systems . 2014年8月28日閲覧。
^ 「Cisco ASA バージョン 9.1 の機能ライセンスの管理」。
^ 「PVLAN – 広く活用されていない機能」。2014年4月16日時点のオリジナルよりアーカイブ。

外部リンク

「プライベートVLANの設定」 . Catalyst 3750スイッチソフトウェアコンフィギュレーションガイド、12.2(25)SEE . Cisco Systems . 2009年5月26日取得.
「プライベート VLAN の設定」 TP-Link 設定ガイド。

さらに読む

CCNP BCMSN公式試験認定ガイド。著者：David Hucaby、ISBN 978-1-58720-171-4、ISBN 1-58720-171-2

[1] 「プライベートVLAN | Junos OS | Juniper Networks」www.juniper.net . 2023年11月8日閲覧。

[2] 「Catalyst 4500シリーズスイッチCisco IOSソフトウェアコンフィギュレーションガイド、12.2(25)EW - プライベートVLANの設定[Cisco Catalyst 4500シリーズスイッチ]」 . Cisco . 2023年11月8日閲覧。

[rfc5517-3] S. HomChaudhuri; M. Foschiano (2009年6月). Cisco SystemsのプライベートVLAN：マルチクライアント環境におけるスケーラブルなセキュリティ.インターネットエンジニアリングタスクフォース. doi : 10.17487/RFC5517 . RFC 5517 .情報提供のみ。独立した投稿。

[4] 「プライベートVLANの設定」 . Cisco Systems . 2014年8月28日閲覧。

[5] 「Cisco ASA バージョン 9.1 の機能ライセンスの管理」。

[6] 「PVLAN – 広く活用されていない機能」。2014年4月16日時点のオリジナルよりアーカイブ。

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]